【GA公共安全标准】 自动柜员机安全性要求

ICS13.310
中华人民共和国公共安全行业标准GA12802015
自动柜员机安全性要求
Security requirements for automatic teller machines2015-10-28发布
中华人民共和国公安部
2016-01-01实施
GA1280—2015
规范性引用文件
3术语定义和缩略语·
一般要求
硬件模块安全性要求
网络接人安全性要求
操作系统安全性要求
应用系统安全性要求
数据安全性要求
试验方法
检验规则
GA1280—2015
本标准的第1章~第3章、4.4、4.5、4.10.5.1.3、5.2.6.5.4.3.5.5.3、7.1.7、第10章为推荐性的，其余为强制性的。
本标准按照GB/T1.1-2009给出的规则起草。本标准由公安部治安管理局提出。本标准由全国安全防范报管系统标准化技术委员会（SAC/TC100)归口。本标准起草单位：公安部治安管理局银监会安全保卫局广州广电运通金融电子股份有限公司北京声迅电子股份有限公司、东方通信股份有限公司、公安部安全与用电子产品质量检测中心，中国工商银行、中国农业银行、中国银行、中国建设银行本标准起草人：刘威、袁鹤、杨建华、任骑、谢华春、边三平、王健力、刘旭、邢伟东、鲍世隆、邱日祥、张洪斌罗壁峰，徐俊装蓉、季景林叶再本1范围
自动柜员机安全性要求
GA1280—2015
本标准规定了自动柜员机的一般要求，硬件模块，网络接入，操作系统，应用系统和数据的安全性要求，试验方法和检验规则。
本标准适用于自动柜员机安全性方面的设计、生产，检验及验收。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB10409防盗保险柜
GB/T18789.1一2013信息技术自动柜员机通用规范第1部分：设备GB/T19584：银行卡磁条信息格式和使用规范GA745银行自助设备自助银行安全防范的规定JR/T0002一2009银行卡自动柜员机（ATM）终端规范JR/T0025.3中国金融集成电路（IC）卡规范第3部分：与应用无关的IC卡与终端接口规范JR/T0025.11中国金融集成电路（IC)卡规范第11部分：非接触式IC卡通讯规范3术语定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
自动柜员机automatic tellermachine组合了多种不同金融业务功能的自助服务设备，客户可利用该设备自行完成存款，取款、转账，信息查询和其他代理业务等银行柜台服务，包括自动取款机、存取款一体机。3.1.2
自动柜员机控制软件automatietellermachine control software终端交易渠道最底层的，运行于自动柜员机终端设备的控制系统软件，可通过它对自动柜员机各部件进行控制，主要用于向客户和自动柜员机设备管理员提供各种交易和管理的交互界面，并与自动柜员机前置处理系统通过报文交互实现特定的功能3.1.3
白动柜员机前置处理系统automatictellermachinefront-endprocessingsystem进行联机交易处理时，承担自动柜员机终端与自动柜员机管理中心通信联系的处理系统，能够接受、处理、转发自动柜员机终端的交易请求信息和管理中心的交易结果信息。3.1.4
message
用于在网络中交换和传输的数据单元。1
GA1280—2015
报文鉴别码message authentication code在发送者和接受者之间用来证实报文来源和报文内容完整性的附加数据单元。3.1.6
个人标识码personal identificationnumber客户持有的用于身份验证的密码。3.1.7
primary account number
主账号
标识发卡机构和持卡者信息的号码·由发卡行标识，持卡者标识和校验位组成3.1.8
安全重锁装置
safety locking device
锁定机构遭到破坏性开启时，能阻止锁定机构运动，使门不被开启的装置。3.1.9
卡处理模块
card reader module
对磁条卡，集成电路卡进行读写的卡接受部件单元。3.1.10
出钞模块cashdispensemodule
用于存放现金并实现取款交易时提取现金的部件单元。3.1.11
存款模块depositmodule
用于实现存人现金功能的部件单元。3.1.12
encrypting PINpad
加密键盘
用于保护个人标识码输人安全并对其进行加密的密码输人键盘。3.2缩略语
下列缩略语适用于本文件。
PCI-EPP
4一般要求
自动柜员机（AutomaticTeller Machine)）自动柜员机控制软件（Automatic Teller MachineControl Software）自动柜员机前置处理系统（Automatic TellerMachineFront-endProcessingSystem）基本输人输出系统（BasicInputOutputSystem）互补金属氧化物半导体（ComplementaryMetalOxideSemiconductor）集成电路（IntegratedCircuit）报文鉴别码（MessageAuthenticationCode）支付卡行业的加密键盘安全要求（PaymentCardIndustry-EncryptingPINPad）个人标识码（PersonalIdentificationNumber）中国人民银行（The People'sBank of China）4.1ATM正面应安装防窥后视镜，使客户能够察觉到他人窥视。4.2ATM加密键盘应有防窥罩，防止他人窥视密码。4.3ATM显示屏应具有防魔功能。在视角为30~90°时（以垂直于屏幕的法线方向为0），不应看清2
显示屏内容
4.4ATM显示屏后方宜具有防护钢板，钢板厚度宜大于或等于3mm。4.5从ATM散热孔、穿线孔等整机孔位的外部不宜直接看到内部的数据信号线。GA12802015
4.6不同ATM的箱体柜门不应使用相同钥匙，同一ATM的不同柜门不应使用相同钥匙。ATM箱体内应预留面部监控摄像机、存取款钞口监控摄像机的安装孔位。4.7
ATM安装的监控摄像机应符合GA745的相关规定。4.8
ATM箱体外壳应采用厚度大于或等于1mm的钢板。4.10
ATM宜支持国家商用密码系列算法。4.11
A工M应具有输出工作正常，故障等状态信息的功能4.12具有箱体柜门的ATM机应安装报管探测装置，对异常开关门探测报管，保险柜锁在开启状态时，ATM不应进人服务模式。
3插卡口应具有防加装盗读装置的功能，对非法加装盗读装置探测报警。4.13
5硬件模块安全性要求
卡处理模块
卡处理模块应具有断电退卡功能接触式卡处理模块应具有吞卡功能，吞卡时能产生故障信号。5.1.2
接触式卡处理模块宜具备抖动进卡功能。5.1.3
5.1.4接触式IC卡的卡处理模块应符合JR/T0025.3的相关规定，非接触式IC卡的卡处理模块应符合JR/T0025.11的相关规定，磁条卡的卡处理模块应符合GB/T19584的相关规定。5.2出钞模块
应具有拒绝未经安权的非法指令的功能5.2.2
应具有独立的回收箱，回收箱应设置在保险柜内，且应从物理上区分客户遗忘的钞票与设备内部回收的钞票。
5.2.3应具有硬件存储芯片，能记录交易现场的日志，日志信息应包括交易时间及详细出钞记录。应具备冠字号码识别功能，并能将识别出的冠字号码上传给ATMC5.24
出钞模块（含出钞口闸门）出现故障时，ATM应能输出故障信息。5.2.5
出钞模块的通信指令宜采用加密传输。5.2.6
存款模块
应具备识别人民市面额，版别和假钞的功能5.3.2
应具备冠学号码识别和记录功能应具有使件存储芯片，能记录交易现场的日志，日志信息应包活交易时间及详细存钞记录，5.3.4
应能记录钞箱内钞票的数量信息和面额信息5.3.5
存款模块有回收箱的，回收箱应设置在保险柜内，且应从物理上区分客户遗忘的回收钞票与设备内部回收的钞票。
出钞存款一体模块
出钞存款一体模块的出钞单元应符合5.2.15.2.5的要求。5.4.1
5.4.2出钞存款一体模块的存款单元应符合5.3的要求。出钞存款一体模块出钞时宜具有验钞功能。5.4.3
GA1280—2015
5.5保险柜
5.5.1保险柜抗破坏能力应符合GB/T18789.1-一2013附录C中C.3的规定，保险柜门应具有安全重锁装置且安全重锁装置和安全重锁方向均不应少于2个，保险柜其他要求应符合GB10409的相关规定。
保险柜应具有与地面固定的装置和配件，固定连接装置应不少于4个，其配件直径应大于或等5.5.2
于12mme
保险柜宜加装动态电子密码锁。5.5.4
保险柜门内侧应安装温度传感器，对温度大于或等于70C的情况探测报管。5.6加密键盘模块
加密键盘模块应同时符合PCIEPP要求和中国银联银联卡受理终端PIN输入设备安全评估要求网络接入安全性要求
6.1访问控制
ATMC首次人网注册时，应向ATMP提供身份合法性验证信息。6.1.2ATM应具备网络访问控制机制，应能对通过网络访间ATM的终端设备进行身份合法性验证。6.2入侵防范
ATM应具备入侵防范机制，当检测到网络攻击时，应记录攻击地址、时间、类型等信息，并采用主动阻止交易等方式进行防护。
6.3传输安全
ATMC到ATMP通信数据传输安全应符合以下要求：a
采用MAC校验的方法防止数据被非法算改，MAC数据的生成应至少包括卡号、ATM流水号、交易金额等关键数据：
b）具有加密措施：
具有防重放攻击机制，应确保每一笔交易数据的唯一性，重复发送的交易数据在ATM和ATMP都应不被接受。
7操作系统安全性要求
7.1操作系统安全配置
7.1.1ATM应安装合法授权的操作系统。7.1.2操作系统启动后除显示ATMC客户操作界面外，其他任何图标和命令不得显示，快捷键禁止操作。
7.1.3操作系统用户在限定时间内连续3次登录失败，应自动锁定用户账户。7.1.4
应安装具有百名单或其他控制机制的第三方主动防软件，能自动终止未知程序执行。7.1.5
应禁用所有不必要的、不安全的服务，协议和应用程序。7.1.6
当BIOS配置的完整性被破坏时，应能将BIOS配置自动恢复到出厂设置。7.1.7
宜安装并启用防火墙和杀毒软件。7.2操作系统安全审计
GA12802015
操作系统日志应记录用户登录事件，事件类别应包括登录成功和失败，日志内容应包括用户登录时间、登录方式、登录结果等信息。7.3操作系统访问控制
7.3.1Guest账户访问控制
应禁用操作系统Guest账户。
远程登录控制
应关闭操作系统远程登录服务。7.3.3密码策略
应为每个用户设置唯一的初始密码，并在初次使用后提示用户更改。在执行击码重置前应认证用户身份。
应具有设置密码最长使用期限策略机制。应具有控制密码复杂性要求策略机制，包括：不应包含用户名或者用户全名中超过两个连续字符的部分：b)
应至少有6个字符长度
应包含以下4类字符中的3类字符：英文大写字母、英文小写字母，10个基本数宇或字符（例如！、$，#%）。
应具有强制密码历史策略机制，不允许提交的新密码与最近使用的四个密码相同。文件/文件目录防护
应对操作系统进行安全加固，对指定文件/文件目录进行保护，阻止未授权的增、删、改操作。7.3.5注册表防护
应对操作系统进行安全加固，对指定的注册表项进行访问控制，阻止未权的增、删、改操作。7.3.6存储介质管理
应对外接存储设备进行访问授权管理，对未经授权的外接存储设备不于识别。8
应用系统安全性要求
应用系统保护
8.1.1签到此内容来自标准下载网
对于业务类交易，当MAC校验出错累计次数达到阅值时，应重新申请工作密钥。8.1.2故障策略
应用系统检测到加密键盘、卡处理模块等关键硬件设备故障时应暂停交易，待故障排除后方可恢复交易。
GA1280—2015
8.2时问同步
应采取每天定时检测的方式保证ATM终端与ATMP的系统时间同步。8.3应用系统访问控制
8.3.1应具有后台维护访问控制功能，应能依据用户角色策略控制不同用户对后台功能资源的访问。8.3.2
应由授权主体配置访问控制策略，并且不提供非授权用户的访问权限，8.3.3
应授于不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。8.4应用系统日志
应具有覆盖到每个用户的日志功能，对应用系统重要安全事件进行记录。日志记录应连续完整，未经授权不能删除和修改。日志记录的内容至少应包括事件的日期，时间，发起者信息，类型，描述和结果等。应具有对日志记录数据进行统计，香询分析的功能，日志不应存储磁条卡的完整磁道数据（或者IC卡的同等数据），PIN、卡片验证码等敏感信息。剩余信息保护
应用系统应具有利余信息保护机制，应对内存中不再使用的用户鉴别信息进行除处理9
数据安全性要求
数据保密性
应对ATM流水号交易金额MAC校验码等关键数据进行加密保护9.1.2
密钥管理应符合JR/T0002—2009的相关规定9.2客户信息安全
9.2.1账户信息安全
账号。
ATM应能正确地按顺序读取银行卡信息，并能根据GB/T19584的相关规定准确地识别主9.2.1.2应对GB/T19584所规定的第二磁道数据（或者IC卡同等第二磁道数据）信息进行加密保护，且应通过加密键盘实现硬加密处理。9.2.2PIN安全
9.2.2.1交易过程中输人PIN时，应显示无意义的字符（例如星号）或者无区别的信号，支持输人的PIN长度至少4位。
9.2.2.2应对PIN信息进行加密保护，且应通过加密键盘实现硬加密处理。9.2.3卡号打印
交易凭证打印的卡号，除被吞卡和转账交易的转人卡外，应具备隐去卡号校验位前至少4位数字的功能。
10试验方法
10.1环境条件
除特别声明环境条件的试验外，其余试验应在下列环境条件下进行：温度：+15℃～+35℃
相对湿度：15%~75%：
大气压力：86kPa~106kPa
10.2一般要求检验
GA1280—2015
10.2.1目测检查ATM机正面是否安装防窥后视镜并验证其功能，判定结果是否符合4.1的要求。10.2.2目测检查ATM加密键盘是否安装防窥罩并验证其功能，判定结果是否符合4.2的要求10.2.3从ATM机侧面不同角度（30°~90%以垂直于屏幕的法线方向为0）窥视显示屏内容，判定结果是否符合4.3的要求。
10.2.4检查ATM显示屏后方是否安装钢板，用精度为0.02mm的卡尺测量其厚度，判定结果是否符合4.4的要求。
10.25从ATM放热孔穿线孔等整机孔位的外部检查能否看到内部的教据信号线，判定结果是否符合4.5的要求
10.2.6检查不同ATM的箱体柜门钥匙并进行相互开启，对同一ATM的不同柜门钥匙进行相互开启，判定结果是否符合4.6的要求。10.2.7检查ATM箱体内是否预留了面部监控摄像机、存取款钞口监控摄像机的安装孔位，判定结果是否符合4.7的要求。
10.2.8按照GA745的相关要求，检测ATM已安装摄像机的功能和性能，判定结果是否符合4.8的要求。
10.2.9用精度为0.02mm的卡尺测量钢板厚度，判定结果是否符合4.9的要求。10.2.10根据生产厂商提供的第三方检验报告或相关证明材料，验证ATM是否支持国家商用密码系列算法，判定结果是否符合4.10的要求。10.2.11使加密键盘，读卡器、出钞模块，存款模块分别处于正常状态和非连接状态，检查ATM输出的状态信息，判定结果是否符合4.11的要求。10.2.12检查ATM箱体柜门是否安装了报警探测装置，验证其是否对异常开关门能探测报菩：使保险柜锁处于开启状态，检查ATM是否处于服务模式：判定结果是否符合4.12的要求。10.2.13使用长度大于或等于70mm，宽度大于或等于20mm的金属挡片对ATM机插卡口四周进行遮挡，金属挡片与ATM机插卡口距离小于50mm，每侧遮挡时间60s，检测是否产生报等.判定结果是否符合4.13的要求。
10.3硬件模块安全性要求检验
10.3.1卡处理模块检验
10.3.1.1插人银行卡，进行断电操作，判定结果是否符合5.1.1的要求。10.3.1.2在联机状态下，人为模拟吞卡现象，判定结果是否符合5.1.2的要求。10.3.1.3在联机状态下，观察进卡效果，判定结果是否符合5.1.3的要求。10.3.1.4检查银联卡检测中心的接触式IC、非接触IC及磁条卡的PBOC检测报告，判定结果是否符合5.1.4的要求。
GA1280—2015
10.3.2出钞模块检验
10.3.2.1采用受检企业提供的串口或者USB口调试工具直接发送给机芯出钞指令，检查是否能直接出钞：判定结果是否符合5.2.1的要求。10.3.2.2检查ATM机的结构并进行出钞未取和模拟粘钞内部回收检验，检查功能是否正常，判定结果是否符合5.2.2的要求。
10.3.2.3现场进行取钞操作并查看日志信息，判定结果是否符合5.2.3的要求。现场进行取钞操作并查看后台记录，判定结果是否符合5.2.4的要求，10.3.2.4
通过卸掉皮带等关键部件，用胶布粘贴出钞口闸门设置故障后，开机运行，判定结果是否符合5.2.5的要求。
使用串口或USB口监测工具监测检查出钞指令是否包含加密数据，判定结果是否符合5.2.6的10.3.2.6
要求。
10.3.3存款模块检验
用50元，100元两种不同面额不同版别的人民币及假钞一起进行存款试验，判定结果是否10.3.3.1
符合5.3.1的要求。
要求。
要求。
查看冠字号码识别记录，判定结果是否符合5.3.2的要求。查看日志信息，判定结果是否符合5.3.3的要求查看钞箱内的钞票数量及面额，并与取款模块存储信息比对，判定结果是否符合5.3.4的检查内部结构，进行存款退回未取和假钞存款检验·检查功能是否正常，判定结果是否符合5.3.5的10.3.4出钞存款一体模块检验
按10.3.2的试验方法进行试验，判定结果是否符合5.4.1的要求。10.3.3的试验方法进行试验，判定结果是否符合5.42的要求在钞箱内加入假钞，进行取钞检验，判定结果是否符合5.4.3的要求。10.3.5保险柜检验
检查ATM机的传动机构安装结构及锁具配置并按照GB/T18789.1-2013时录C中的C.3及GB10409对保险柜进行抗破坏能力试验，判定结果是否符合5.5.1的要求。10.3.5.2
检查保险柜的固定连接装置数量，并测量其配件的直径，判定结果是否符合5.5.2的要求。检查保险柜的锁具配置，判定结果是否符合5.5.3的要求使用加温装置对柜门上靠近温度传感器触点的位置加温，当温度达到70C时，检查传感器报警状态，判定结果是否符合5.5.4的要求。10.3.6加密键盘模块检验
对加密键盘模块的PCI-EPP认证证明文件和中国银联银联卡受理终端PIN输人设备安全评估证明文件进行检查，判定结果是否符合5.6的要求。10.4网络接入安全性要求检验
10.4.1访问控制检验
10.4.1.1对产品的开发文件进行评估，分析ATMC在首次入网注册时，是否向ATMP提供身份合法8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。